подозрение на вирус

[zg]

в логах апача встречаются строчки

Код: Выделить всё

192.168.33.10 - - [14/Jul/2008:11:38:12 +0600] "OPTIONS / HTTP/1.1" 403 210 "-" "Microsoft-WebDAV-MiniRedir/5.1.2600"
192.168.33.10 - - [14/Jul/2008:11:38:12 +0600] "OPTIONS / HTTP/1.1" 403 210 "-" "Microsoft-WebDAV-MiniRedir/5.1.2600"
192.168.33.10 - - [14/Jul/2008:11:38:13 +0600] "PROPFIND /asdf HTTP/1.1" 403 214 "-" "Microsoft-WebDAV-MiniRedir/5.1.2600"
192.168.33.10 - - [14/Jul/2008:11:38:13 +0600] "PROPFIND /asdf HTTP/1.1" 403 214 "-" "Microsoft-WebDAV-MiniRedir/5.1.2600"

насколько я понял, у клиента 192.168.33.10 на компе стоит вирусяга?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[zingel]

нет, Вас сканируют дешевым образом

[zg]

это ip нашего админа в тех поддержке, у которого есть рутовый доступ на сервак, да и сканить он не умеет, ну и смысл сканить сервер, на котором ничего нет?.. меня смутило, что таких запросов было 20 штук в течение одной секунды.

[ProFTP]

поставь статистику, и смотри какой айпи за сколько времени нагенерил трафика, спамботы очень часто заходяд через прокси (а прокси может быть вирус) или с под сетей с динамическими айпи...
у меня бывает что 30 айпишником по 100мегабайт нагенерят за сутки на сайте при 600 хостов, хотели флудануть наверное что-то
раньше дос был, как только отключить dosevansive, то httpd переставал отвичать

[zg]

меня не столько последствия интерисуют сколько сама причина. Просто, раньше как-то не сталкивался, думал, может кто знает, что это за зверь

[dikens3]

На сервере Samba стоит?

http://ru.wikipedia.org/wiki/WebDAV

Код: Выделить всё

PROPFIND — Получение свойств объекта на сервере в формате XML. Так же можно получать структуру репозитория (дерево каталогов).

[zg]

На сервере Samba стоит?

стоит, но по сети заходят несколько машин, а такая бяка только с одной. И меня смущает количество попыток, за одну секунду около десяти при ответе 403...

за ссылку спасибо ща буду курить чё там и зачем. Я такое видел в одной хакерской книге, так ломался IIS, поэтому и грешу на вирус.

[dikens3]

Веб-клиент (WebClient) - позволяет приложениям Windows создавать, сохранять и изменять файлы, находящиеся на серверах WebDAV* (использование Web Publishing Wizard для публикации данных в Интернет). На просмотр ресурсов в Интернете отключение этой службы никак не влияет, поскольку она используется только для WebDAV-подключений, к тому же программы, которым этот сетевой протокол необходим, как правило, имеют встроенные перенаправители WebDAV, работающие независимо от службы "Веб-клиент" (MS06-008).

Отключи просто WEBDAV.

[zg]

Отключи просто WEBDAV.

рад бы, но сейчас на закрытом хостинге появились логи

Код: Выделить всё

85.128.55.11 - - [06/Aug/2008:16:51:27 +0600] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1"   400 335 "-" "-"
79.143.139.14 - - [07/Aug/2008:21:42:22 +0600] "OPTIONS / HTTP/1.1" 403 210 "-" "Microsoft-  WebDAV-MiniRedir/5.1.2600"
79.143.139.14 - - [07/Aug/2008:21:42:23 +0600] "OPTIONS / HTTP/1.1" 403 210 "-" "Microsoft-  WebDAV-MiniRedir/5.1.2600"
83.23.125.217 - - [09/Aug/2008:09:49:08 +0600] "OPTIONS * HTTP/1.0" 408 - "-" "-"

у кого её отключать? не во францию же ехать мля, вирусяга мать его... отослал ип

dikens3, спасибо ещё раз!